springboot2+SSL组建简单的HTTP请求转到HTTPS安全协议请求

这里先讲下http和https请求不同，自己百度然后总结了一下

　HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

　HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL（Secure Sockets Layer）

HTTPS和HTTP的区别主要如下：

　　1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

　　2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

　　3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

　　4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

当然https也是有很多缺点的

       （1）HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电；

　　（2）HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响；

　　（3）SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

　   （4）SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。

　　（5）HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

由于本人差不多半年都在研究软件安全这块，负责的项目又是偏向政府类项目（无很大的并发量），所以感兴趣和大家一起学习安全这块，这里由于第三点，我们自能自建证书（穷），下面分步走如下：

第一步：自建密钥库和证书

java语言的运行需要JDK给我们提供JAR基础jar包和JRE的运行环境，在JRE的lib中，其实已经提供了Security基础包（此功能可以后面讲，不是主题）

以及JDK自带的keytool

如果你配置好了JDK，则在cmd模式下，使用keytool -help查看帮助指令

正题，按以下步骤生成密钥

1.生成密钥库文件

Keytool  -genkey -keystore "E:\keytool\demo.keystore"  -alias  私钥用户名 -keyalg RSA  -validity 365

说明：genkey表示生成密钥， ""内容可以填写绝对路径，也可以填相对路径（当前cmd打开的目录）,keyalg加密模式，validity 有效日期

生成文件如下

2.输入系列口令

姓氏+组织单位+组织+城市+省+国家代码

3输入密钥

 

查看密钥中的信息

Keytool  -list  -v  -keystore   E:\keytool\demo.keystore   -storepass  密钥库密码

4导出某个证书文件

Keytool  -alias  密钥名  -exportcert  -keystore   E:\keytool\demo.keystore  -file  E:\keytool\demo.cer  -storepass   密钥库密码

5将数字证书导入到自己的JRE证书中

将zxl的密钥，文件file的证书导进JRE文件中，JRE密钥库规定的默认密码是changeit

keytool -import -alias  "zxl"   -keystore  "C:\Program Files\Java\JDK1.8\jre\lib\security\cacerts" 

-file E:\keytool\demo.cer  -trustcacerts  -storepass changeit

6删除证书 

keytool   -delete     -alias      "zxl"      -keystore           "C:\Program Files\Java\JDK1.8\jre\lib\security\cacerts"       -storepass   changeit

第二步，配置springboot2项目

server:
  port: 8016  #Tomcat端口
  ssl:
    key-store:  E:\keytool\demo.keystore
    key-store-password: 6675021
    key-store-type: JKS
    key-alias: zhouxl

说明:因为此项目使用的tomcat作为应用服务器，所有只需要在yml文件或者properties文件中加固定配置就行，可以将密钥库.keystore文件放在项目相对目录下（我这里取的是绝对目录），password密码，JKS的tomcat支持的密钥类型（其他几种没研究过），alias为别名（也可称用户名）

第三步，检验测试

在用百度访问其他网站时（当前用的chrome浏览器）

点击这个锁，发现里面是包含证书的

打开证书

证书路径

正规的证书就是这样的，闲话少说，开始我们的测试

首先用postman尝试任意接口

安全传输层（Transport Layer Security ）。这句话的意思是此端口号的请求需要一个安全的传输层

再换一个任意的 8016的端口，发现还是提示需要安全的传输层

现在换上HTTPS请求https://localhost:8016

浏览器会提示你与网站之间建立不安全的链接（这里不安全指的是网站服务的第三方的证书没有保证，可以透过应用服务器（如tomcat）访问过程中可植入监听，窃取等黑客手段），我们这里不存在这样的问题，点继续访问

正常访问了（提示是此项目有sercuity拦截器），然后我们点开证书

补充：如何让证书受信任

WIN+r快速启动管理器，mmc

然后找到证书，OK！